Java云服务开发知识之常见安全威胁分析和解决方法
安全威胁以及解决方法(横线后面的就是解决方法)
§ Spoofing 仿冒——认证
搞一个克隆的手机号, 接入到公用wifi中看违反视频干违法之事,然后另一个人背锅了 ( 外部交互方)—— 手机短信验证码接入, 或者ssl证书双向认证
公用wifi被我替换成了仿冒的同名假wifi, 其他手机就误接进来了,我就能偷偷知道谁在下小黄片了 (处理过程), 或者是搞了个假的淘宝,让别人点进来—— ssl双向认证
§ Tampering 篡改——完整性
服务器的监听特性被纂改?(处理过程)—— 校验端口正确,配置文件mac对比,mac存到服务端
直接再数据库里修改你的个人信息或者金钱(存储)——acl权限控制
某app偷偷修改你的host,把你想发给华为的数据发送到黑客的服务器上了。(数据流) —— acl权限认证,host不可更改,或者文件mac对比
§ Repudiation 抵赖,否认做过的事——防抵赖
有人用root登录后干了rm -rf 这事, 却说自己没做过,你查不到我(外部交互方) ——审计日志
修改日志记录函数(例如替换jar包之类的), 日志故意不记录自己的名字 ( 处理过程)——认证
直接去存储的地方修改日志信息(存储过程, 只有日志会存盘才有可能)——认证
§ Imformation Disclosure 信息泄露——机密性
从app的应用启动目录找到一个二进制文件,可以解密处密钥(处理过程)——加密
入侵数据库里。可以找到明文口令(存储过程)——加密
明文口令直接加在http中, 然后被人直接抓包拿到口令了(数据流)——加密
§ Denial of Service 拒绝服务——可用性
服务器承载不住请求量,内存不足或者cpu爆满(处理过程) ——负载均衡
疯狂执行写操作,然后磁盘满了(存储过程)——缓存
故意拦截中间链路,导致数据流中断(数据流)——过滤
§ Elevation of privilege 权限提升——授权
在处理过程中, 用户权限比实际的高(处理过程)——权限最小化\沙箱
§ Privacy隐私
外部交互方: 没有经过用户同意,就收集隐私—— 应该加勾选项告知用户
数据存储: 直接把用户数据存盘却没有加密或者脱敏—— 数据脱敏、匿名化
- 点赞
- 收藏
- 关注作者
评论(0)